211service.com
Hur apputvecklare lämnar dörren öppen för NSA-övervakning
Nyheter om att National Security Agency i flera år har samlat in personuppgifter som läckt från mobilappar som Angry Birds utlöste en ny våg av prat om omfattningen av NSA:s räckvidd igår. Men NSA och dess motsvarighet i Storbritannien, GCHQ, behövde knappast bryta mycket teknisk mark för att samla in dessa uppgifter. Få mobilappar implementerar krypteringsteknik för att skydda data de skickar över Internet, så byråerna kunde trivialt samla in och avkoda denna data med deras befintliga tillgång till Internetnätverk.
Dokument som ses och publiceras av New York Times och väktare tidningar visar att NSA och GCHQ kan hämta information som en persons ålder, plats och sexuella läggning från data som skickas över Internet av appar. Sådana personuppgifter finns i de uppgifter som appar skickar tillbaka till de företag som underhåller och stödjer dem. Detta inkluderar data som skickas till företag som visar och riktar in annonser i mobilappar.
Detta är bevis på osäkerhetsnivåer av osäkerhet från appföretag, säger Peter Eckersly , teknikprojektdirektör för Electronic Frontier Foundation. Eckersly säger sina ansträngningar att övertala företag att säker webbtrafik visar en utbredd ignorering av riskerna med att skicka människors data över Internet utan skydd mot avlyssning. De flesta företag har ingen legitim anledning att inte säkra den datan, säger Eckersly. Ofta är säkerheten och integriteten för deras användare så långt ner på prioriteringslistan att de inte ens har tänkt på att göra det.
TILL 2012 studie av 13 500 Android-appar av forskare i Tyskland fann att endast 0,8 procent endast använde krypterade anslutningar och att 43 procent inte använder någon kryptering alls. Förra veckans mobilappsäkerhetsföretag MetaIntell rapporterad att 92 procent av de 500 mest populära Android-applikationerna kommunicerade viss data på ett osäkert sätt.
Det är ofta svårt att avgöra om en app använder kryptering eller inte för att överföra data. Webbläsare visar en hänglåsikon bredvid webbplatsens webbadress om den använder kryptering, men det finns ingen motsvarighet för mobilappar. Att manuellt kontrollera om en mobilapp säkerställer dataöverföringar innebär att man inspekterar nätverksloggar för att undersöka hur en app ansluter till servrar.
De dokument som publicerades på måndagen pekar ut Google Maps som läcker särskilt användbar data för övervakningsändamål. Dokument från både NSA och GCHQ noterar hur sökfrågor som fångas upp från den här appen kan avslöja en persons rörelser. Ett dokument från 2008 från GCHQ anger att ett system som är inrättat för att fånga upp denna data effektivt innebär att alla som använder Google Maps på en smartphone arbetar för att stödja en G.C.H.Q. systemet.
Google gjorde kryptering till standard för sin webbsökning i september förra året men publicerar inte vilka av dess mobilappar som använder kryptering. Det säger en talesperson för företaget MIT Technology Review att nuvarande versioner av Google Maps-appen använder kryptering för att skydda data som skickas tillbaka till företagets servrar. Det tyder på att underrättelsetjänster inte längre kan se de platser som folk söker efter genom att avlyssna internettrafik.
De läckta dokumenten belyser också hur annonsinriktningsteknik inbyggd i många appar kan läcka personlig information. Många appföretag använder sig av teknik från tredje parts annonsföretag som samlar in och överför annonsspårnings- och annonsinriktningsdata (se Mobilannonsföretag söker nya sätt att spåra dig och gör dig redo för annonser som följer dig från en enhet till nästa ).
Den informationen innehåller ofta profildata om en person, såsom kön, ungefärlig ålder och plats. En GCHQ-rapport från 2012 beskriver teknik som utformats för att plocka sådana profiler från data som överförs av spelet Angry Birds. MetaIntells analys av den aktuella Android-versionen av den appen visade att den skickar okrypterad data till AdMob, mobilannonsföretaget som ägs av Google. 2012 års rapport pekar också ut annonsföretag Millennium , som sammanställer profiler som även kan inkludera en persons etnicitet, civilstånd och sexuella läggning. Det berättade en talesman för Millennial MIT Technology Review att företaget endast får se data som dess partners har tillåtelse att samla in från sina användare och att annonser inte är riktade utifrån sexuell läggning.
Annonsteknikföretag som Millennial har färre incitament att ägna tid åt att skydda data de överför än apptillverkare eftersom de arbetar bakom kulisserna. Annonsföretag verkar särskilt osannolikt att använda kryptering, säger oberoende forskare Ashkan Soltani . Han bidrog till en 2010 års undersökning av mobilapps integritet och säkerhet av Wall Street Journal som fann att majoriteten av data som skickades av appar var oskyddad av kryptering. De flesta annonsplattformar stöder det inte.
Marc Rogers, ledande säkerhetsforskare på mobilsäkerhetsföretaget Se upp , säger måndagens nyheter kan hjälpa till att förändra saker och ting. Som bransch kommer utvecklare av mobilappar och särskilt mobilannonsörer att behöva ändra sin förståelse för vad som bör anses vara känsligt för att inkludera all personlig information som skickas över tråden, säger han.
Om det inte händer kommer det inte att bero på de tekniska och ekonomiska bördorna. Med dagens teknikläge bör ingen mobilapp ges ett pass på att distribuera korrekt kryptering, säger Rogers.